本日はMicrosoftの2025年7月のパッチチューズデーであり、Microsoft SQL Serverにおける1件の公開済みゼロデイ脆弱性を含む、合計137件の脆弱性に対するセキュリティ更新プログラムが含まれています。
今回のパッチチューズデーでは、「重大」な脆弱性が14件修正されており、そのうち10件がリモートコード実行の脆弱性、1件が情報漏洩、2件がAMDのサイドチャネル攻撃の脆弱性です。
これらの件数には、今月初めに修正された4件のMarinerおよび3件のMicrosoft Edgeの問題は含まれていません。
今月のパッチチューズデーでは、Microsoft SQL Serverにおける1件の公開済みゼロデイが修正されています。Microsoftはゼロデイ脆弱性を、公式な修正が提供されていない状態で公開または積極的に悪用されているものと定義しています。
Microsoftは、リモートかつ認証されていない攻撃者が初期化されていないメモリからデータにアクセスできる可能性のある、Microsoft SQL Serverの脆弱性を修正しました。
「SQL Serverの不適切な入力検証により、認可されていない攻撃者がネットワーク経由で情報を漏洩させることが可能です」とMicrosoftは説明しています。
管理者は、Microsoft SQL Serverの最新バージョンおよびMicrosoft OLE DB Driver 18または19をインストールすることで、この脆弱性を修正できます。
Microsoftは、この脆弱性の発見をMicrosoftのVladimir Aleksic氏に帰属し、公開された経緯についての詳細は提供していません。
今回のパッチチューズデーでゼロデイは1件のみでしたが、Microsoftは、特別に細工されたドキュメントを開いたり、プレビューペインで表示しただけで悪用可能な、Microsoft Officeの多数の重大なリモートコード実行脆弱性を修正しました。
Microsoftは、これらの脆弱性に対するセキュリティ更新プログラムは、Microsoft Office LTSC for Mac 2021および2024にはまだ提供されておらず、近日中にリリース予定であると述べています。
同社はまた、プラットフォーム上にアカウントを持つユーザーであればインターネット経由でリモートから悪用可能な、Microsoft SharePointの重大なRCE(リモートコード実行)脆弱性CVE-2025-49704も修正しました。
以下は、2025年7月のパッチチューズデーアップデートで修正された脆弱性の全リストです。
各脆弱性の詳細説明や影響を受けるシステムについては、こちらの完全レポートをご覧ください。
| タグ | CVE ID | CVEタイトル | 深刻度 |
|---|---|---|---|
| AMD L1データキュー | CVE-2025-36357 | AMD: CVE-2025-36357 L1データキューにおける一時的スケジューラ攻撃 | 重大 |
| AMDストアキュー | CVE-2025-36350 | AMD: CVE-2024-36350 ストアキューにおける一時的スケジューラ攻撃 | 重大 |
| Azure Monitor Agent | CVE-2025-47988 | Azure Monitor Agent リモートコード実行の脆弱性 | 重要 |
| Capability Access Management Service (camsvc) | CVE-2025-49690 | Capability Access Management Service (camsvc) 権限昇格の脆弱性 | 重要 |
| HIDクラスドライバー | CVE-2025-48816 | HIDクラスドライバー 権限昇格の脆弱性 | 重要 |
| Kernel Streaming WOW Thunk Service Driver | CVE-2025-49675 | Kernel Streaming WOW Thunk Service Driver 権限昇格の脆弱性 | 重要 |
| Microsoft Brokering File System | CVE-2025-49677 | Microsoft Brokering File System 権限昇格の脆弱性 | 重要 |
| Microsoft Brokering File System | CVE-2025-49694 | Microsoft Brokering File System 権限昇格の脆弱性 | 重要 |
| Microsoft Brokering File System | CVE-2025-49693 | Microsoft Brokering File System 権限昇格の脆弱性 | 重要 |
| Microsoft Configuration Manager | CVE-2025-47178 | Microsoft Configuration Manager リモートコード実行の脆弱性 | 重要 |
| Microsoft Graphics Component | CVE-2025-49732 | Windows Graphics Component 権限昇格の脆弱性 | 重要 |
| Microsoft Graphics Component | CVE-2025-49742 | Windows Graphics Component リモートコード実行の脆弱性 | 重要 |
| Microsoft Graphics Component | CVE-2025-49744 | Windows Graphics Component 権限昇格の脆弱性 | 重要 |
| Microsoft Input Method Editor (IME) | CVE-2025-49687 | Windows Input Method Editor (IME) 権限昇格の脆弱性 | 重要 |
| Microsoft Input Method Editor (IME) | CVE-2025-47991 | Windows Input Method Editor (IME) 権限昇格の脆弱性 | 重要 |
| Microsoft Input Method Editor (IME) | CVE-2025-47972 | Windows Input Method Editor (IME) 権限昇格の脆弱性 | 重要 |
| Microsoft MPEG-2 Video Extension | CVE-2025-48806 | Microsoft MPEG-2 Video Extension リモートコード実行の脆弱性 | 重要 |
| Microsoft MPEG-2 Video Extension | CVE-2025-48805 | Microsoft MPEG-2 Video Extension リモートコード実行の脆弱性 | 重要 |
| Microsoft Office | CVE-2025-47994 | Microsoft Office 権限昇格の脆弱性 | 重要 |
| Microsoft Office | CVE-2025-49697 | Microsoft Office リモートコード実行の脆弱性 | 重大 |
| Microsoft Office | CVE-2025-49695 | Microsoft Office リモートコード実行の脆弱性 | 重大 |
| Microsoft Office | CVE-2025-49696 | Microsoft Office リモートコード実行の脆弱性 | 重大 |
| Microsoft Office | CVE-2025-49699 | Microsoft Office リモートコード実行の脆弱性 | 重要 |
| Microsoft Office | CVE-2025-49702 | Microsoft Office リモートコード実行の脆弱性 | 重大 |
| Microsoft Office Excel | CVE-2025-48812 | Microsoft Excel 情報漏洩の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-49711 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| Microsoft Office PowerPoint | CVE-2025-49705 | Microsoft PowerPoint リモートコード実行の脆弱性 | 重要 |
| Microsoft Office SharePoint | CVE-2025-49701 | Microsoft SharePoint リモートコード実行の脆弱性 | 重要 |
| Microsoft Office SharePoint | CVE-2025-49704 | Microsoft SharePoint リモートコード実行の脆弱性 | 重大 |
| Microsoft Office SharePoint | CVE-2025-49706 | Microsoft SharePoint Server なりすましの脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-49703 | Microsoft Word リモートコード実行の脆弱性 | 重大 |
| Microsoft Office Word | CVE-2025-49698 | Microsoft Word リモートコード実行の脆弱性 | 重大 |
| Microsoft Office Word | CVE-2025-49700 | Microsoft Word リモートコード実行の脆弱性 | 重要 |
| Microsoft PC Manager | CVE-2025-47993 | Microsoft PC Manager 権限昇格の脆弱性 | 重要 |
| Microsoft PC Manager | CVE-2025-49738 | Microsoft PC Manager 権限昇格の脆弱性 | 重要 |
| Microsoft Teams | CVE-2025-49731 | Microsoft Teams 権限昇格の脆弱性 | 重要 |
| Microsoft Teams | CVE-2025-49737 | Microsoft Teams 権限昇格の脆弱性 | 重要 |
| Microsoft Windows QoSスケジューラー | CVE-2025-49730 | Microsoft Windows QoSスケジューラードライバー 権限昇格の脆弱性 | 重要 |
| Microsoft Windows Search Component | CVE-2025-49685 | Windows Search Service 権限昇格の脆弱性 | 重要 |
| Office Developer Platform | CVE-2025-49756 | Office Developer Platform セキュリティ機能バイパスの脆弱性 | 重要 |
| リモートデスクトップクライアント | CVE-2025-48817 | リモートデスクトップクライアント リモートコード実行の脆弱性 | 重要 |
| リモートデスクトップクライアント | CVE-2025-33054 | リモートデスクトップ なりすましの脆弱性 | 重要 |
| 役割: Windows Hyper-V | CVE-2025-48822 | Windows Hyper-V Discrete Device Assignment (DDA) リモートコード実行の脆弱性 | 重大 |
| 役割: Windows Hyper-V | CVE-2025-47999 | Windows Hyper-V サービス拒否の脆弱性 | 重要 |
| 役割: Windows Hyper-V | CVE-2025-48002 | Windows Hyper-V 情報漏洩の脆弱性 | 重要 |
| Service Fabric | CVE-2025-21195 | Azure Service Fabric Runtime 権限昇格の脆弱性 | 重要 |
| SQL Server | CVE-2025-49719 | Microsoft SQL Server 情報漏洩の脆弱性 | 重要 |
| SQL Server | CVE-2025-49718 | Microsoft SQL Server 情報漏洩の脆弱性 | 重要 |
| SQL Server | CVE-2025-49717 | Microsoft SQL Server リモートコード実行の脆弱性 | 重大 |
| ストレージポートドライバー | CVE-2025-49684 | Windows Storage Port Driver 情報漏洩の脆弱性 | 重要 |
| Universal Print Management Service | CVE-2025-47986 | Universal Print Management Service 権限昇格の脆弱性 | 重要 |
| 仮想ハードディスク (VHDX) | CVE-2025-47971 | Microsoft Virtual Hard Disk 権限昇格の脆弱性 | 重要 |
| 仮想ハードディスク (VHDX) | CVE-2025-49689 | Microsoft Virtual Hard Disk 権限昇格の脆弱性 | 重要 |
| 仮想ハードディスク (VHDX) | CVE-2025-49683 | Microsoft Virtual Hard Disk リモートコード実行の脆弱性 | 低 |
| 仮想ハードディスク (VHDX) | CVE-2025-47973 | Microsoft Virtual Hard Disk 権限昇格の脆弱性 | 重要 |
| Visual Studio | CVE-2025-49739 | Visual Studio 権限昇格の脆弱性 | 重要 |
| Visual Studio | CVE-2025-27614 | MITRE: CVE-2025-27614 Gitk 任意コード実行の脆弱性 | 不明 |
| Visual Studio | CVE-2025-27613 | MITRE: CVE-2025-27613 Gitk 引数の脆弱性 | 不明 |
| Visual Studio | CVE-2025-46334 | MITRE: CVE-2025-46334 Git 悪意のあるシェルの脆弱性 | 不明 |
| Visual Studio | CVE-2025-46835 | MITRE: CVE-2025-46835 Git ファイル上書きの脆弱性 | 不明 |
| Visual Studio | CVE-2025-48384 | MITRE: CVE-2025-48384 Git シンボリックリンクの脆弱性 | 不明 |
| Visual Studio | CVE-2025-48386 | MITRE: CVE-2025-48386 Git クレデンシャルヘルパーの脆弱性 | 不明 |
| Visual Studio | CVE-2025-48385 | MITRE: CVE-2025-48385 Git プロトコルインジェクションの脆弱性 | 不明 |
| Visual Studio Code – Python拡張機能 | CVE-2025-49714 | Visual Studio Code Python拡張機能 リモートコード実行の脆弱性 | 重要 |
| Windows Ancillary Function Driver for WinSock | CVE-2025-49661 | Windows Ancillary Function Driver for WinSock 権限昇格の脆弱性 | 重要 |
| Windows AppX Deployment Service | CVE-2025-48820 | Windows AppX Deployment Service 権限昇格の脆弱性 | 重要 |
| Windows BitLocker | CVE-2025-48818 | BitLocker セキュリティ機能バイパスの脆弱性 | 重要 |
| Windows BitLocker | CVE-2025-48001 | BitLocker セキュリティ機能バイパスの脆弱性 | 重要 |
| Windows BitLocker | CVE-2025-48804 | BitLocker セキュリティ機能バイパスの脆弱性 | 重要 |
| Windows BitLocker | CVE-2025-48003 | BitLocker セキュリティ機能バイパスの脆弱性 | 重要 |
| Windows BitLocker | CVE-2025-48800 | BitLocker セキュリティ機能バイパスの脆弱性 | 重要 |
| Windows Connected Devices Platform Service | CVE-2025-48000 | Windows Connected Devices Platform Service 権限昇格の脆弱性 | 重要 |
| Windows Connected Devices Platform Service | CVE-2025-49724 | Windows Connected Devices Platform Service リモートコード実行の脆弱性 | 重要 |
| Windows Cred SSProvider Protocol | CVE-2025-47987 | Credential Security Support Provider Protocol (CredSSP) 権限昇格の脆弱性 | 重要 |
| Windows Cryptographic Services | CVE-2025-48823 | Windows Cryptographic Services 情報漏洩の脆弱性 | 重要 |
| Windows Event Tracing | CVE-2025-47985 | Windows Event Tracing 権限昇格の脆弱性 | 重要 |
| Windows Event Tracing | CVE-2025-49660 | Windows Event Tracing 権限昇格の脆弱性 | 重要 |
| Windows Fast FAT Driver | CVE-2025-49721 | Windows Fast FATファイルシステムドライバー 権限昇格の脆弱性 | 重要 |
| Windows GDI | CVE-2025-47984 | Windows GDI 情報漏洩の脆弱性 | 重要 |
| Windows Imaging Component | CVE-2025-47980 | Windows Imaging Component 情報漏洩の脆弱性 | 重大 |
| Windows KDC Proxy Service (KPSSVC) | CVE-2025-49735 | Windows KDC Proxy Service (KPSSVC) リモートコード実行の脆弱性 | 重大 |
| Windows Kerberos | CVE-2025-47978 | Windows Kerberos サービス拒否の脆弱性 | 重要 |
| Windows Kernel | CVE-2025-49666 | Windows Serverセットアップおよびブートイベント収集 リモートコード実行の脆弱性 | 重要 |
| Windows Kernel | CVE-2025-26636 | Windows Kernel 情報漏洩の脆弱性 | 重要 |
| Windows Kernel | CVE-2025-48809 | Windows Secure Kernel Mode 情報漏洩の脆弱性 | 重要 |
| Windows Kernel | CVE-2025-48808 | Windows Kernel 情報漏洩の脆弱性 | 重要 |
| Windows MBTトランスポートドライバー | CVE-2025-47996 | Windows MBTトランスポートドライバー 権限昇格の脆弱性 | 重要 |
| Windows Media | CVE-2025-49682 | Windows Media 権限昇格の脆弱性 | 重要 |
| Windows Media | CVE-2025-49691 | Windows Miracastワイヤレスディスプレイ リモートコード実行の脆弱性 | 重要 |
| Windows Netlogon | CVE-2025-49716 | Windows Netlogon サービス拒否の脆弱性 | 重要 |
| Windows Notification | CVE-2025-49726 | Windows Notification 権限昇格の脆弱性 | 重要 |
| Windows Notification | CVE-2025-49725 | Windows Notification 権限昇格の脆弱性 | 重要 |
| Windows NTFS | CVE-2025-49678 | NTFS 権限昇格の脆弱性 | 重要 |
| Windows Performance Recorder | CVE-2025-49680 | Windows Performance Recorder (WPR) サービス拒否の脆弱性 | 重要 |
| Windows Print Spooler Components | CVE-2025-49722 | Windows Print Spooler サービス拒否の脆弱性 | 重要 |
| Windows Remote Desktop Licensing Service | CVE-2025-48814 | リモートデスクトップライセンスサービス セキュリティ機能バイパスの脆弱性 | 重要 |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-49688 | Windows Routing and Remote Access Service (RRAS) リモートコード実行の脆弱性 | 重要 |